在java中有关sql注入的问题

最新推荐文章于 2024-06-12 16:52:14 发布
最新推荐文章于 2024-06-12 16:52:14 发布
阅读量1.8k 收藏
点赞数 1
分类专栏: java学习 文章标签: sql java string exception service class
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/badyflf/article/details/7926632
版权 
package web;

import java.io.IOException;
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.Statement;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import util.DBUtil;

public class LoginServlet extends HttpServlet{ 
		public void service(HttpServletRequest req,HttpServletResponse res)
				throws ServletException,IOException{  
			Connection conn =null;			
		 try{
			conn = DBUtil.getConnection();
			Statement stat = conn.createStatement();
			
			String username = req.getParameter("username");
			String pwd =req.getParameter("pwd");
			
			//System.out.println("pwd的值:"+pwd);
			//将pwd的值定义为:ddd' or '1'='1 就可以注入sql语句了。
			//select * from t_u where username='zs' and pwd='ddd' or '1'='1' 
			String sql="select * from t_u where username='"+username+"' and pwd='"+pwd+"'";
			//SQL注入--因为sql注入的问题,在java中尽量避免使用Statement来创建sql语句封装对象
			//String sql="select * from t_u where username='"+username+"' and pwd='"+pwd+"' or 1 = 1";
			System.out.println(sql);
			ResultSet rst= stat.executeQuery(sql);
			
			if(rst.next()){
				System.out.println("success");
			 }else{
				System.out.println("fail");
			      }
			
		}catch(Exception e){
				e.printStackTrace();
				throw new ServletException(e);
			}
			
			
		}


}



TBNoO
关注
专栏目录
防范JavaSQL注入:策略与实践
08-30
由于Java广泛用于企业级Web应用的开发,因此了解如何在Java识别和防护SQL注入至关重要。本文将详细介绍SQL注入的原理、风险、以及如何在Java应用程序进行有效的防护。 SQL注入是一种严重的安全威胁,但通过采取...
JAVA代码审计篇-SQL注入
m0_60571990的博客
03-10 1488
JAVA代码审计篇-SQL注入
JAVA代码审计之SQL注入代码审计
最新发布
weixin_68408599的博客
06-12 1005
SQL注入漏洞是对数据库进行的一种攻击方式。其主要形成方式是在数据交互,前端数据通过后台在对数据库进行操作时,由于没有做好安全防护,导致攻击者将恶意代码拼接到请求参数,被当做SQL语句的一部分进行执行,最终导致数据库被攻击。可以说所有可以涉及到数据库增删改查的系统功能点都有可能存在SQL注入漏洞。虽然现在针对SQL注入的防护出不穷,但大多情况下由于开发人员的疏忽或特定的使用场景,还是会存在SQL注入漏洞的代码。
javassist技术研究&Sql注入检测
我的心曾悲伤7次
09-22 1034
javassist技术研究
SQL注入漏洞的检测及防御方法_如何测试sql注入漏洞
2301_82242459的博客
04-12 1212
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。错误信息处理:避免将详细的数据库错误信息暴露给用户。
java sql简易注入测试
yunchen523的博客
05-13 857
最近对SQL注入比较感兴趣,想着用java测试一下,首先进行了jdbc的简单连接,但是在结果运行的时候却没有得到我想要的结果。假设我有一个student表,我想要通过网页输入信息搜索指定信息(原功能),但是我想通过SQL注入获取到所有信息。我创建了一个表单,通过文本框将我的信息传输到servlet进行处理。 select * from student where id ='1' or 1=1 正常情况下应该返回所有记录信息,但是响应时却只有id为1的记录(原表数据不止一条)。后来经过多次测试与查找资料
sql注入Java过滤器
11-10
配置在web.xml,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符
JavaSQL注入的防范与解决方法
02-18
JavaSQL注入的防范与解决方法
java 过滤器filter防sql注入的实现代码
09-01
Java Web开发SQL注入是一种常见的安全威胁,它允许攻击者通过恶意构造的SQL语句来操控数据库。为了防止这种攻击,开发者通常会使用过滤器(Filter)来对用户输入进行预处理,确保输入的数据不会对系统造成危害...
java过滤器防sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!...外网可能会被攻击,简单的处理可以避免!...
JAVA实现sql注入点检测
04-24
JAVA实现的网络爬虫以及对爬到的页进行sql注入的判断
java sql注入l
10-01
package com.tarena.dingdang.filter; 02 03 import java.io.IOException; 04 import java.util.Enumeration; 05 06 import javax.servlet.Filter; 07 import javax.servlet.FilterChain; 08 import javax.servlet.FilterConfig; 09 import javax.servlet.ServletException; 10 import javax.servlet.ServletRequest; 11 import javax.servlet.ServletResponse; 12 import javax.servlet.http.HttpServletRequest; 13 14 public class AntiSqlInjectionfilter implements Filter { 15 16 public void destroy() { 17 // TODO Auto-generated method stub 18 } 19 20 public void init(FilterConfig arg0) throws ServletException { 21 // TODO Auto-generated method stub 22 } 23 24 public void doFilter(ServletRequest args0, ServletResponse args1, 25 FilterChain chain) throws IOException, ServletException { 26 HttpServletRequest req=(HttpServletRequest)args0; 27 HttpServletRequest res=(HttpServletRequest)args1; 28 //获得所有请求参数名 29 Enumeration params = req.getParameterNames(); 30 String sql = ""; 31 while (params.hasMoreElements()) { 32 //得到参数名 33 String name = params.nextElement().toString(); 34 //System.out.println("name===========================" + name + "--"); 35 //得到参数对应 36 String[] value = req.getParameterValues(name); 37 for (int i = 0; i < value.length; i++) { 38 sql = sql + value[i]; 39 } 40 } 41 //System.out.println("============================SQL"+sql); 42 //有sql关键字,跳转到error.html 43 if (sqlValidate(sql)) { 44 throw new IOException("您发送请求的参数含有非法字符"); 45 //String ip = req.getRemoteAddr(); 46 } else { 47 chain.doFilter(args0,args1); 48 } 49 } 50 51 //效验
代码审计-Java项目审计-SQL注入漏洞
xiaoheizi的博客
08-16 309
eval assert preg_replace call_user_func call_user_func_array等。extract() parse_str() import_request_variables() $$ 等。$_FILES,type="file",上传,move_uploaded_file()等。$_GET,$_POST,$_REQUEST,$_FILES,$_SERVER等。审计目标的程序名,版本,当前环境(系统,间件,脚本语言等信息),各种插件等。
JavaSQL注入简易分析
鸣蜩十四的博客
08-04 3400
Java的JDBC与MybatisSQL注入简易分析
java代码审计之SQL注入审计方法
weixin_44108760的博客
05-23 295
java代码审计之SQL注入审计方法
SQL注入漏洞的检测及防御,零基础入门到精通_sql注入检测
Spontaneous_0的博客
02-21 1274
SQL注入SQL Injection)是一种广泛存在于Web应用程序的严重安全漏洞,它允许攻击者在不得到授权的情况下访问、修改或删除数据库的数据。这是一种常见的攻击方式,因此数据库开发者、Web开发者和安全专业人员需要了解它,以采取措施来预防和检测SQL注入漏洞。01什么是SQL注入SQL注入是一种攻击技术,攻击者通过在输入字段插入恶意SQL代码,试图欺骗应用程序以执行不安全的数据库操作。这些恶意SQL代码将与应用程序的数据库进行交互,允许攻击者执行未授权的操作。
Java代码审计之SQL注入
tpaer的博客
12-05 2410
复现了JavaJDBC及Mybatis框架采用预编译和非预编译时可能存在SQL注入的几种情况,并给予修复建议。
java处理sql注入的方法:
wcw002500的博客
11-11 1089
方法1: String sql = " select * from s_org where org_name like :ssdqStr "; MapSqlParameterSource msq = new MapSqlParameterSource(); NamedParameterJdbcTemplate jdbc = new NamedParameterJdb...
Java应用SQL注入防护策略
总结,防范JavaSQL注入需要多面的策略,包括使用预编译语句、ORM框架、输入验证、转义函数、权限限制、更新维护、代码审查、安全教育以及WAF的使用。结合这些措施,可以大大提高Java应用抵御SQL注入攻击的能力...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值